ISMSとは一体なに?ISMS取得に必要な取り組みを解説!

2017年10月19日(木) ノウハウ

<ちょい読み>
・ISMSとは情報セキュリティマネジメントの略称。
・情報資産の機密性・完全性・可用性を維持しリスクマネジメントプロセスを正しく適用する
・組織としてリスクを管理しているという信頼を顧客・取引先へ与えるために存在している

ISMSとは何か?

みなさんISMSという言葉を聞いたことがありますか?
ISMSとは組織の情報資産のセキュリティを管理するための仕組みのことを言います。
ISMS(アイ・エス・エム・エス)とは情報セキュリティマネジメントシステムを英語で表記したInformation Security Management Systemから頭文字を取った言葉です。
これは一度やって終わりではなく、PDCAサイクルを回し、継続的に管理・改善を行っていくものです。

この中で情報資産の機密性・完全性・可用性を維持し、リスクマネジメントプロセスを正しく適用していくことにより、組織としてリスクを管理しているという信頼を顧客・取引先など、いわゆる利害関係者へ与えることを目的としています。

ISMSの基準について

ISMSは、ISO(International Organization for Standardization:国際標準化機構)とIEC(International Electrotechnical Commission;国際電気標準会議)が共同で策定する情報セキュリティ規格群である、ISO/IEC 27000シリーズで規格されています。
日本の場合はISO/IEC 27000シリーズをJIS Q 27000シリーズとして翻訳したものを規格として基準を定めています。

ISO27000(JIS Q 27000)シリーズとは

27000シリーズでは、ISMSにおける情報セキュリティの管理・リスク・制御に対するベストプラクティスが示されています。
その中でも、ISO/IEC 27001:2013(JIS Q 27001:2014)は、組織がISMSを確立、導入、運用、監視、レビュー、維持し、継続的改善していくための”要求事項”を規定しています。

ISMS認証とプライバシーマークの違い

組織が情報セキュリティに関する要求事項を満たしていることを認証するものとして、ISMS認証とプライバシーマークの認証があります。
一見似たように感じるこの二つの認証ですが、以下のような違いがあるのでこの機会に知っておきましょう。

ISMS認証は、自社で取り扱う個人情報が従業員情報程度であり、外部から情報処理などで預かる個人情報が多い場合に取得します。
プライバシーマークの場合は、自社で直接取得する顧客の個人情報が多い場合に取得します。
ISMS認証はBtoB、プライバシーマークはBtoCの事業を行っている場合とで別れると覚えておくと良いでしょう。
ISMS認証とプライバシーマークのどちらを取るべきか検討する場合は自社の事業形態がどういったものかを基準に選びましょう。
それではISMS認証を取得するにはどのような取り組みをすれば良いのでしょうか?

ISMS認証取得において最も重要視されるもの

ISMS認証を取得する際に最も重要視されるものと言うと情報セキュリティの三大要素を維持できているか、これに尽きます。
情報セキュリティの三大要素とは一体なんでしょうか?

情報セキュリティの三大要素CIA

その要素とは
機密性(Confidentiality)
完全性(Integrity)
可用性(Availability)

です。
英語の頭文字を取って、CIAとも呼ばれることもあります。
この三大要素はJIS Q 27000(ISO/IEC 27000)に定義されており、以下のようになっています。

「機密性」・・・情報へのアクセスが許可されている人のみが情報を利用することができる。許可されていない人には情報の閲覧・使用ができないようにする。

「完全性」・・・情報資産が正確であり、改ざんされていない。

「可用性」・・・情報へのアクセスを認可された人・物が要求した時にいつでも使用できるようにする

この3つをバランスよく維持・確保することがISMSの中で最も重要とされています。どれかひとつでも崩れたり、欠けたりすることは許されません。
この三大要素を基本として、運用を行うことでISMSを取得することができることを証明します。

ISMSではPDCAサイクルを回し続けることが重要

ISMSにマネジメントシステムという言葉は入っていることからもわかるように、ISMSでも情報セキュリティに関するマネジメントシステムを構築することも含まれています。
ISMSは国際規格で評価されるものですが、その中でも最も重要視されているのが「PCDAサイクルを回して継続的改善をし続けること」です。

情報セキュリティ計画(Plan)
ISMSではリスクアセスメント、PDCAサイクルのP(Plan)に該当します。

運用(Do)
計画したことを継続して実施し、管理していきます。

パフォーマンス評価(Check)
実施したことに対して、それが有効であったかを評価する必要があります。具体的には、内部監査により確認します。そして、その結果を踏まえ、経営層はマネジメントレビューを定期的に行い、評価し、判断を下します。

改善(Action)
パフォーマンス評価の結果、不適合が発生した場合は、是正処置を実行し、改善します。一度の実施ではなく、継続的な改善が必要です。

これはPDCAサイクルを重要視することはISMSだけに限られたことではなく国際規格全てに該当するものです。
PDCAサイクルを円滑に回すことで、情報セキュリティの三大要素を維持することができると考えた方が良いでしょう。

ISMS認証には多くの時間と労力がかかりますが、これを取得することによって、社会的信用度がグンと上がります。
もし、取得を検討する場合は小さなことから見直しながら、取り組んでいきましょう。

Writer:SecurityTIMES編集部